Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2325 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Supplying Internet public IP

ChrisTwigg
We have an Astaro utm220

We have 

15 x public ip's (10 free)
1 x wan
1 x LAN
1 x DMZ

We have a request to provide 1 of our public facing ip's to a seperate office in our building.

I could create a new network interface and setup a dhcp server and provide a seperate network.

Unfortunately the client will be using their own firewall and providing their own nat, firewall rules, port forwarding etc.

Is there a way of supplying 1 x public IP as an ISP would?

No Internet filtering, no intrusion prevention. Maybe a bandwidth pool ?


Any ideas would be most grateful.

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, 

    Proxy Arp might work.

    Other options:
    1. request a transfer network from the ISP, so you can use all 15 IPs inside your firewall without NAT.
    This will make your life easier in the long term, especially if you will have a DMZ.

    2. put a switch outside the firewall and let them plug in to it, and use 1 of the IPs on their firewall (remove the IP from the UTM).
    You would lose the ability to do any QOS or monitoring this way though.

    Barry
  • 0
    Thanks Barry.

    Light bulb moment. The switch idea will be the easiest and guarantees physical separation. But with the cost of QOS. Its such a shame astaro/sophos only tick 99/100 boxes.
  • 0 in reply to ChrisTwigg
    Its such a shame astaro/sophos only tick 99/100 boxes.


    As I said, Proxy ARP might work. I've never used it so I can't say for certain, but perhaps someone else here could.

    Barry
  • 0
    Could someone please provide an example setup of Proxy ARP ?

    Setup.

    Public IP's
    80.1.1.1/28

    Eth1: Internal
    192.168.1.1

    Eth2: Wan
    IP:80.1.1.1
    Gw:80.1.1.14

    Added Addition Adresses
    80.1.1.2/24
    -
    80.1.1.13/24
    or do use /28 ?

    eth3: PublicIP DMZ
    IP:80.1.1.5

    PC NIC
    IP:80.1.1.6
    GW 80.1.1.5

    Do i enable Proxy ARP On eth2 or eth3 ?
    what firewall rules ?

    Any ideas would be gratefuly received.

    Ps All Ip's are fictitious.

    thanks
  • 0
    Hi, Chris,

    I've never used Proxy ARP, but I think I understand the theory and that your example can't work.  I think the following example should be closer to what you want - it provides three public IPs in your DMZ, and leaves you with 10 unused IPs that can be used for Additional Addresses on your External interface.

    Public IP's
     80.1.1.1/28
     
    Eth1: Internal
     192.168.1.1
     
    Eth2: Wan
     IP:80.1.1.1/29
     Gw:80.1.1.14
     
    NO Additional Adresses needed!
     
    eth3: PublicIP DMZ
     IP:80.1.1.8/30
     
    PC NIC
     IP:80.1.1.9
     GW 80.1.1.8
     
    Proxy ARP enabled on the External interface.



    Like Barry said, I think you'd be happiest with his Option 1 above.

    Of course you'll need a Firewall Allow rule for 'Internet -> Any -> {80.1.1.9}' in any case.

    Cheers - Bob
  • 0
    Great Thanks Bob & Barry

    If i request a transfer network how would the config look ?

    could i enable NAT for 1 x Public IP for internal internet browsing etc ?

    Thanks Again

    Chris
  • 0
    Hi,
    With a transfer network, 

    You'd use your assigned network (e.g. 80.1.1.1/28) in your DMZ.

    You'd continue to use 192.168.1.0/24 or similar in your LAN.

    The ISP would give you a new, small, network for your external interface (probably a /29 or /30).

    You'd delete all your DNATs, SNATs, and MASQ for your DMZ. Keep MASQ to your EXT interface for your LAN, for internet browsing, etc. (this would be using the new External IP. It might be possible to use one of the DMZ IPs somehow though.)

    Barry
  • 0
    It might be possible to use one of the DMZ IPs somehow though.

    This might be possible from the command line, but I wouldn't know how to do that.  If you try to do this with your existing configuration and a definition of 80.1.1.?/28 on the DMZ, please let us know if that works.  I think you'd need to change the definition of the WAN to 80.1.1.1/32 for the routing to work.

    Cheers - Bob
  • 0
    Hi guys

    Just to let you know I've changed the whole plan. As this would be in a production environment I couldn't afford 'it might work' approach. I've setup as follows:

    Eth5 internal private network address

    172.10.10.1/30

    Dnat 
    Any
    Any
    External IP 
    172.10.10.2

    Snat
    172.10.10.2
    Any
    Any
    External IP address

    Created an Internet protection exception rule for this interface and not added the interface to web monitoring.

    All works perfect.

    This network will be used for VoIP and rdp via their own juniper firewall.

    I turned off Intrusion protection and content filtering to supply the cleanest possible connection.

    Thanks for all your help
  • 0
    Hi, 

    For the record, I said "proxy arp might work" because I've never tried it.
    This is a user-to-user forum; it would have been best if you also asked your reseller and/or Sophos support.

    That said, DNAT and SNAT are a perfectly fine solution.

    Barry